Sigurnost informacijskog sustava je područje informacijske sigurnosti u okviru kojeg se utvrđuju mjere i standardi informacijske sigurnosti klasificiranog i neklasificiranog podatka koji se obrađuje, pohranjuje ili prenosi u informacijskom sustavu te zaštite cjelovitosti i raspoloživosti informacijskog sustava u procesu planiranja, projektiranja, izgradnje, uporabe, održavanja i prestanka rada informacijskog sustava.

 

Mjere informacijske sigurnosti za područje sigurnosti informacijskog sustava su mjere zaštite informacijskog sustava poput zaštite hardvera, softvera i medija za pohranu podataka, upravljanje konfiguracijom sustava te korisničkim pristupom, kontrola povezivanja sustava, zaštita od rizika elektromagnetskog zračenja (TEMPEST). Također su to upravljanje sviješću o sigurnosti, planiranje djelovanja u izvanrednim okolnostima (upravljanje kontinuitetom poslovanja) te upravljanje računalno-sigurnosnim incidentima.

 

Sigurnost informacijskog sustava provodi se kroz čitav životni vijek informacijskog sustava, kako za klasificirane (sigurnosnom akreditacijom), tako i neklasificirane sustave (usklađivanjem s normama HRN ISO/IEC 27001 i HRN ISO/IEC 17799).

 

 

TEMPEST

Svi električni i elektronički uređaji zrače elektromagnetsku energiju. Ukoliko se tim uređajima prenose, pohranjuju ili obrađuju klasificirani ili drugi osjetljivi podaci, moguće je sofisticiranom opremom „uhvatiti“ to zračenje, obraditi ga te iz njega rekonstruirati klasificirane odnosno osjetljive podatke a da korisnik uređaja toga nije ni svjestan.

Pojam TEMPEST veže se za istraživanje i proučavanje ugrožavajućeg istjecanja (engl. Compromasing emanation - CE) i to najviše na njegov elektromagnetski oblik odnosno na RF  zračenje. RF zračenje susrećemo kod osobnih računala, servera i mreža, modernih komunikacijskih sustava (VOIP, Bluetooth, bežično spajanje na mreže, mobilni telefoni itd.) te u kabelima koji međusobno povezuju uređaje. Iako se TEMPEST zadnjih godina vrlo često spominje, o njemu se zapravo u javnosti malo zna. Naime, postoje standardi i pravilnici za primjenu TEMPEST mjera zaštite, ali oni često imaju oznaku klasificiranih dokumenata i kao takvi nisu dostupni široj javnosti.

TEMPEST predstavlja  skup sigurnosnih mjera koji povezuje instaliranu opremu koja obrađuje klasificirane ili osjetljive podatke, prostor u kome se nalazi ta oprema  te instalacijske zahtjeve (povezivanje opreme, napajanje, uzemljenje itd.) za opremu i prostor. Dakle, kada govorima o TEMPEST sigurnosnim mjerama uvijek moramo uzeti u obzir sve tri navedene sigurnosne mjere istovremeno. Ovlašteno TEMPEST tijelo obavlja mjerenje opreme kojom se obrađuju klasificirani i osjetljivi podaci u gluhoj elektromagnetskoj komori i dodjeljuje joj odgovarajuću TEMPEST zonu opreme. Na sličan se način i prostoru dodjeljuje odgovarajuća TEMPEST prostorna zona, a tada se, ovisno o stupnju tajnosti klasificiranih podataka koji se obrađuju, prostoru dodjeljuje adekvatna oprema kao i način na koji se ista može spojiti.

Kao nadopunu TEMPEST sigurnosnih mjera moraju se provoditi i fizičke i tehničke sigurnosne mjere za štićenje prostora i opreme koja obrađuje klasificirane podatke, čime se direktno utječe na veličinu prostora pod nadzorom.

Sam spomen riječi TEMPEST asocira kod većine ljudi pomisao na sigurnosno-obavještajne i vojne sustave, no danas možemo govoriti o TEMPEST tržištu vrijednom  nekoliko milijardi USD koje pokriva i druga državna tijela, financijske ustanove i sustave, IT sustave, kripto svijet, komunikacijske sustave itd. Budući da je u posljednje vrijeme sigurnost jedna od ključnih riječi u svijetu, primjena TEMPEST mjera će se u budućnosti svakako povećavati, kako će se povećavati i svijest o opasnostima u ovom području.